随着威胁的增加,国家、行业和组织正在制定一套最佳实践和法规来缓解日益复杂的攻击。公钥基础设施 (PKI) 作为 IT 安全的支柱,自然发挥着重要作用,因为组织需要确保他们拥有正确的安全解决方案。
根据 2022 年全球 PKI 和物联网趋势研究,不断变化的标准和法规是利益相关者期望变化和不确定性的首要领域之一。这是因为监管环境正在发展并变得更加明确和严格。
例如,在联邦层面,大多数国家都在密切关注网络安全——从白宫发布改善国家网络安全的命令到澳大利亚政府的澳大利亚网络安全中心为组织提供保护其系统和数据免受网络威胁的指南. 从政府情报到具有个人身份信息 (PII) 的个人级别,其中许多肯定是为了保护数据。
现在和将来保护数据
当我们研究像后量子 (PQ) 这样的东西时,数据保护也是一个焦点。这是另一个值得关注的领域,看起来这个特定领域肯定会成为未来十年内的主要关注点。
尽管标准机构没有关于 PQ 造成的网络威胁的最终规定或建议,但我们已经看到越来越多的行动呼吁。这些通常从清点数据开始,以便组织和公司了解他们最敏感的数据是什么以及它所在的位置,然后再对这些数据进行优先级排序。
当组织处于保护其数据的阶段时,实施 PQ 加密是关键,这将需要 PKI。
对于该对话,我们鼓励客户与他们的安全供应商交谈,以确保他们购买和使用“PQ 就绪”的解决方案,以便让这些保护机制面向未来。这是一项需要进行的投资。
统一调控是关键
全球范围内正在加强监管,但随着每个国家都有自己的一套指导方针,水域越来越模糊,这可能会加剧这种情况。
此外,这不仅发生在国家层面——在美国,我们已经看到物联网监管在加利福尼亚州和俄勒冈州的州一级出台。此外,每个行业也有自己的一套要求,例如我们在医疗保健和金融领域看到的。
随着越来越多的法规出现在一系列地区和行业中,并且这些保护层层叠加,组织可能难以驾驭并确保他们满足所有要求。在 PKI 和物联网趋势研究中,我们看到部署和管理 PKI 的三大挑战是:缺乏内部技能、资源和没有明确的所有权。
这表明并非所有组织都具备适当应对的专业知识,并且正在努力应对 PKI 和相关法规。这也意味着可能没有一个单独的小组在组织层面监督这些要求,这可能会使公司面临合规风险。
然而,在联邦层面,数据保护和数据主权是重点。由于漏洞和勒索软件攻击的消息几乎每天都在发生,似乎许多人已经开始接受来自不良行为者的威胁是“何时”而不是“如果”的情况。
因此,虽然正在做很多事情来加强系统和用户,但人们越来越关注确保数据和通信受到保护,即使在信息丢失的情况下——无论是有意的还是意外的。为了满足这些需求并制定他们的战略,组织希望通过法规和合规性来帮助建立对投资者、用户和客户的信任。因此,澳大利亚信号局和内政部制定的法规将继续成为防止数据泄露的重要工具。
我们还看到越来越多的法规出台以保护最终用户/消费者,包括前面提到的州级法规。澳大利亚政府最近还发布了《 行为准则:为消费者保护物联网》。它把物联网安全的责任放在商业设备制造商身上,以提高消费者的安全,因为个人拥有更多的连接设备,这些设备可以在没有人为干预的情况下相互通信。
最后,还有像 PQ 这样的威胁。由于量子计算机能够破解当今使用的公钥密码术,因此有必要着眼于未来并将其视为真正的风险。尽管这一领域的监管和建议仍处于早期阶段,但我们看到越来越多的国家、机构和监管机构正在关注这一点,以确保数字生态系统、数据和通信在量子计算机被用于破解时保持安全那个密码学。
总而言之,PKI 基础设施是安全生态系统的重要组成部分,并且在未来几年的重要性只会增加。正如全球 PKI 和 IOT 趋势研究显示的那样,越来越多的组织和政府机构正在改变他们的意愿,以巩固围绕 PKI 和连接系统的治理——因此组织必须跟上任何变化并确保其合规性——但他们自己的,内部治理是经过仔细考虑和计划的。只有统一战线才能降低网络和数据风险。
